openvpn 异地组网问题

client
dev tun
proto udp
remote 60.191.154.142 9981
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
auth SHA512
cipher AES-256-CBC
ignore-unknown-option block-outside-dns
verb 3
客户端配置如上

丢包 还是延迟高

客户端那一头 ping 过来看看

@hymzhek 延迟在 50ms 以下 没有丢包

@xiaoshiforking 漏地址了。

不能一概而论，cs 架构要看各 c 端到 s 端延迟，这年代了为啥还在用 openvpn ，用 wireguard 吧

wireguard 走起

erp 传输都是上万的小数据包 卡顿是正常的 我们公司也是 用的 sslvpn 忍忍吧

@Achophiark 行吧 我搭个 wireguard 试试

家庭宽带还是 DIA ？ ERP 带宽需求可不低

这题我会。用 openvpnas 去做就好了。搭建简单一些。

在单独的电脑上 用 tailscale 子网路由功能，也有开源的实现

@PluginsWorld 细说

也可以试试 softether

用 TCP ，别用 wireguard ，UDP 会被奇怪的 Qos

openvpn 改用 tcp 试试呢？也可以配置 openvpn 客户端策略让部分 IP 走 VPN 隧道，缓解一下 VPN 压力。
https://www.joshua317.com/article/82

openvpn 没有哪里不好，它只能用单核，能够处理 1.2Gbps 以上的吞吐
所以你的公网带宽低于 1Gbps ，用 openvpn 完全没问题

如果你有 1Gbps 以上的带宽需求，那 ipsec 也是一个选择，可以使用 libreswan ，能达到 4Gbps 的处理能力，
比 wireguard 略强一些，而且还可以走 TCP

是原生的 TCP ，不是东拼西凑的 TCP

有点类类似：我通过 ssh tunnel 连 MongoDB 也很慢，rdp 就很快。

另外可以用 AES-256-GCM ，AES-256-CBC 有点老，性能不怎么样

要不让公司加点钱，我给你组个内网

网上有很多关于 openvpnas 的教程。如果只是学习，可以突破一下连接数限制。

然后管理后台做一些基础操作设置就可以了，有管理界面。

我之前写了 ubuntu 的一键安装服务端的脚本。

openvpn 配置没问题，你可以做一些链路上的测试。
vpn 肯定用 udp 表现最好，当然被限流那是另外一回事。

我怀疑是 erp 软件的问题，某些操作对于延迟稍微高一点的线路就会卡。

@retanoj 设置过了 是让特定网段走 VPN 但还是一样

找运营商吧，我们公司当初不想花钱让我们搞异地组网，后面一堆问题都不稳定，后面花钱找运营商搞了异地专线，后面舒服了

@xiaoshiforking 我公司最近也有跟你公司一模一样的情景，我用两台 ros 组 sstp 解决了问题。

@TESTFLIGHT2021 ERP 带宽得看情况，如果是 web based ERP 其实不怎么用带宽。

买台正规的 IPLC 的主机把国内隧道打通，做大内网就行了。

mark, 解决了更新一下. 记得艾特我

@Liku 这跟 IPLC 有啥关系。。。 人家未必用来跨国。

关于 op 的问题说下我了解的实践： 以前我们公司垮地是 IPSec+MSTP 专线打通的，预算每个月+2000 搞定。

多大带宽？找运营商买虚电路。。。用起来就和网线一样

建议换 TCP 试试，我司 openvpn UDP 也很不稳定，换了 TCP 基本就没问题了。

我也推荐找运营商直接局端做异地组网，搞起来俩地方就跟局域网一样，不止 ERP ，文件共享都能跑起来了。商用的东西，求的一个稳定，该花的钱还是得花。
另外，既然是在同一个工业园区内的话，去运营商接入点的机房里研究研究？看能否走走偏锋在接入点直接物理组网:)

SSH 异地组网也是一个选项

简单的解决方案很多，tailscale netbird 要性能的话，还是 frp 最帅。就 op 这点需求，建议看看 wg-easy ，我一直用着很爽。

看这些配置，我只有一个建议就是使用 tcp ，国内你不知道两边什么时候就 qos udp ，抽风应该也算正常。

@GeekGao 看错了，以为是越南分支，如果只是国内组网，分支多的话那就 routeros WG OSPF 自动宣告路由组网，只是点对点就 wg 建立起来两边写静态路由

既然都是同一个工业区，如果是“园区”的话，那么或许可以找物业商量，能不能自己拉根线

@cnbatch 像我公司园区都是于老板自己的，只是我们懒得再拉线。像楼主的话如果物业不同意拉线，其实也可评估一下是否可以做 wifi 对射。

一个工业区 1 、直接找运营商拉条点对点光纤 2 、如 2 个大楼之间阻挡 直接行 ubnt 无线网桥

@Achophiark #36 wg-easy 也就服务器端爽了，客户端那边配置很头疼啊（一条两条肯定没问题）， 请问有没有基于 Linux 的图形界面配置的 wireguard? 有的话就方便了。

@ixdeal 扫码配置文件都有，有什么麻烦啊，就 op 这点应用，用这个足够了吧。mesh 可看看 wg-gen-web

使用 ZeroTier 自建, 或者 WireGuard(没有用过, 但是都是 p2p) 会好用很多

试试 softether vpn 把 erp 内网 ip 段推送到静态路由 仅内网 ip 走 vpn 试试 应该会好很多

大佬，我也用 openvpn 来组网，就是路由器使用 openvpn 连接服务器，我现在用电脑远程连接 openvpn 服务器，想要访问路由器的整个网络（包括连接路由器的设备）。目前只能 ping 通路由器的 10.8.0.3 这个地址，路由器的 lan 192.168.10.1 这个地址 ping 不同，我尝试增加路由表，奈何不太懂，始终不成功。希望能得到指导，谢谢！

@findwho 服务端配置文件也要配置好